Connexion
Abonnez-vous

Ubuntu : Canonical corrige les failles de needrestart

Le 21 novembre à 11h45

L'équipe sécurité de Canonical indique avoir publié des mises à jour de sécurité dédiées à deux paquets présents dans les différentes variantes d'Ubuntu, mais aussi de Debian et d'autres distributions : needrestart et libmodule-scandeps-perl.

Elles corrigent un ensemble de cinq vulnérabilités (CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-11003, CVE-2024-10224), découvertes par l'éditeur Qualys, grâce auxquelles un attaquant disposant d'un accès local (au moyen par exemple d'un malware ou d'un compte utilisateur compromis) serait en mesure d'obtenir des droits administrateur sur la machine visée.

« Dans deux des vulnérabilités, CVE-2024-48990 et CVE-2024-48922, l'attaquant local peut définir une variable d'environnement (PYTHONPATH ou RUBYLIB), puis exécuter un script pour attendre que needrestart s'exécute et l'amener à utiliser l'environnement de l'attaquant pour exécuter du code arbitraire », illustre l'éditeur.

Certains y verront sans doute une forme d'ironie : needrestart est l'utilitaire chargé de déterminer si un service doit être redémarré après l'application d'une mise à jour.

Toutes les versions actuellement maintenues d'Ubuntu sont concernées par la mise à jour, de la 16.04 à la récente 24.10.

Le 21 novembre à 11h45

Commentaires (5)

votre avatar
Je me demandais bien le pourquoi de la mise à jour de needrestart ce matin :)
votre avatar
de la 16.04 à la récente 24.10
Alors que la 16.04 (et jusqu'à 19.10) ne sont plus officiellement supportées !
votre avatar
Elle l'est pour les adhérent au programme ESM
votre avatar
Vu l'actu je comprends que c'est pour tout le monde. Si ce n'est pas le cas il faudrait ajouter la précision.
votre avatar
Ça pourrait être précisé dans la dépêche. Mais si tu ouvre le lien de n'importe quel CVE, c'est marqué.

Ubuntu : Canonical corrige les failles de needrestart

Fermer